Как вылечить Mikrotik от DDOSa?

Question

[madeofsun666]

Все началось с того, что перестали открываться некоторые сайты (например exist.ru)
Спросил у провайдера, в чем причина, он ответил следующее.



провайдер дает нам 2 ip адреса, один заканчивается на 228, второй на 229.
В письме указано что проблема с 229 ip. Этот айпи идет к нашим соседям. Мы же используем 228. (что мне непонятно, к примеру, у них сайт exist открывается)
Погуглил, что делать если микротик стал частью ддос ботнета, после прочтения нескольких статей, не нашел признаков того, что мой микротик заражен.
Полез искать что происходит внутри сети, откуда идет ддос(додумался посмотреть через торч, не знаю как еще). Внутри сети не нашел ни чего интересного, но когда зашел на подключение резервного провайдера увидел следующее (через него экзист открывается)


А вот ниже к примеру торч основного провайдера через которого Не работает экзист(письмо которого выше)


Не понимаю, почему провайдер указывает на 229 адрес, хотя у нас 228. И вообще почему у резервного провайдера, 700 подключений активных. Притом через него сайты работают нормально.
Помогите пожалуйста понять и разобраться в чем причина. И как исправить эту ситуацию.

а еще вчера ночью гуглил способы решения этой проблемы, появилось такое сообщение

Answer 1

[Gansterito]

На адресе 62.176.27.229 (который "идет к соседям") работает открытый DNS.
Соответственно, он DDoS-ит через DNS amplification.

> server 62.176.27.229
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ яю єьюыўрэш■: [62.176.27.229]
Address: 62.176.27.229

> ya.ru
╤хЁтхЁ: [62.176.27.229]
Address: 62.176.27.229

Не заслуживающий доверия ответ:
╚ь : ya.ru
Addresses: 2a02:6b8::2:242
77.88.55.242
5.255.255.242
77.88.44.242

>

Возможно, вас по соседству заблокировали.
Почему не заблокировали соседей? А при такой развитой сетевой инфраструктуре у них точно нет другого провайдера?

Comments

[madeofsun666]

Я вот тоже подозревал, что мы просто в одной подсети состоим и нас задело как-то.
Вот почему их не заблокировали, вопрос который мне не понятен.
Нет, их сетевое оборудование находится в моей сереной, там только 1 провод от провайдера.

[madeofsun666]

как Вы ip узнали? я же стер его везде :)

[madeofsun666]

В общем да, был включен там allow remote request.
Отключил. nslookup перестал там отзываться. Спасибо, посмотрю что из этого выйдет.

[Gansterito]

madeofsun666, из HEX-дампа.
Знаете, народ очень сильно боится, что их вычислят по IP, или деанонимизируют (и будут насмехаться, ага). Всё фигня, главное не показывать листинги, где могут быть логины/пароли/токены/сессии/приватные ключи/участки чувствительного кода. А у вас только сетевой дамп)

[madeofsun666]

Answer 2

[Юрий MikroTik]

1. Netinstall
2. Настройка заново
3. Просить сменить IP

Comments

[madeofsun666]

это 3 решения, или одно?

[madeofsun666]

Зачем нетистал? хотите сказать что злоумышленик перепрошил мой микротик?

[Вадим]

Два )

[Юрий MikroTik]

madeofsun666, может быть всё что угодно.
По этому лучше не гадать, а сделать 1 и 2 пункты, если не поможет - сделать 3 пункт

Либо начать с 3 пункта (как самый простой), и если проблема повторится - сделать первые 2

[madeofsun666]

Юрий MikroTik, тогда, у какого провайдера просить смены ip ?

[Юрий MikroTik]

madeofsun666, через которого проблема

[madeofsun666]

Юрий MikroTik, судя по письму, доступам к сайту, тому сообщение о ботнете, проблема у риалкома, а судя по торчу проблема на цифре, я этого и не понимаю, как такое может быть.
почему на цифре все работает хорошо, но там 700 подключений?

[Юрий MikroTik]

madeofsun666, я не знаю как у вас настроен 2WAN и firewall
Возможно брутфорсят адрес